Le smartphone, cible désormais spécifique de cyber-attaques

Ne sous-estimons surtout pas la capacité qu'ont les cybercriminels à cibler spécifiquement nos smartphones.

Nous avons déjà eu l’occasion d’attirer l’attention sur ce fait marquant : dans son dernier rapport consacré à la cybermenace, l’Agence Nationale de la Sécurité des Systèmes d’information (ANSSI) dédie un chapitre entier au ciblage des équipements périphériques ainsi qu’à l’activité des acteurs privés de la cyber-malveillance. Dans un contexte marqué par une hausse exponentielle des attaques informatiques, sur fond de problématiques géopolitiques (guerre en Ukraine), ce fait mérite que l’on s’y attarde. Il nous renvoie à une question majeure : la cybermalveillance qui frappe nos ordinateurs peut-elle être comparée à celle qui vient de plus en plus impacter nos smartphones ?

PC, mobile : la quête de l’argent avant tout

Pour autant qu’elle soit légitime, cette question impose une réponse sans ambiguïté : la cybercriminalité sur smartphone est bel et bien différente de celle qui touche nos PC. Il est néanmoins compréhensible que l’on s’interroge sur ce point, notamment en raison du but poursuivi par les cyberattaquants, que l’on retrouve dans un cas comme dans l’autre : l’argent. Globalement, l’objectif d’une attaque informatique sera toujours celui-ci. Pour les pirates des temps modernes, issus le plus souvent de Chine ou de Russie, il s’agit de capitaliser sur le vol et la revente des données d’une entreprise privée ou d’une structure publique. Il s’agit également d’exploiter une flotte de terminaux compromis pour la louer et l’utiliser afin de mener des opérations d’envergure telles que les attaques DDOS (déni de service distribué). Devenues très fréquentes depuis 8 à 10 ans, ces attaques empêchent l’accès à un service, par exemple en saturant la bande passante du réseau. L’expérience montre qu’elles sont assez aisées à déployer, surtout contre des organisations qui sont mal préparées.

Le phishing : un grand classique du smartphone

Les attaques sur mobiles ont ceci de particulier qu’elles usent assez massivement du phishing. Le SMS en est le vecteur premier, avec un scénario particulièrement bien élaboré. L’histoire qui est la plus souvent élaborée est celle du colis qui se trouverait bloqué quelque part, par exemple à la douane, et qu’il s’agirait de libérer… Un utilisateur non averti recevant ce type de SMS a de grandes chances de tomber dans le piège, tant le recours à la livraison de colis s’est généralisé depuis les confinements des années 2020-2021. Pressé, éventuellement peu concentré, le propriétaire du smartphone clique sur le message : c’est à cet instant précis que le ver entre dans le fruit…

Mais il existe encore d’autres types d’arnaques, liées elles aussi à l’utilisation spécifique de nos smartphones. Le vol de données bancaires est sans conteste l’autre grande faille relevée, ce qui explique au passage les messages d’alerte que nos banques nous adressent en nombre depuis quelques mois. Dans ce cas, ce sont les coordonnées bancaires que les cyberattaquants recherchent, là encore à partir d’un « story telling » lié à un colis bloqué.

Des cyberattaquants spécialisés dans le mobile

Particulièrement bien préparées, ces attaques émanent de groupes qui concentrent leurs efforts sur le mobile. C’est le cas du groupe de cybercriminels chinois baptisé Roaming Mantis. Spécialisé dans le hacking de smartphones, ce groupe passe par des SMS pour faire installer des applications malveillantes qui vont tenter de pirater les routeurs Wi-Fi , et ainsi pénétrer dans nos systèmes d’information. D’abord actif au Japon, en Chine, en Corée, en Inde ou encore au Bangladesh (dès 2018), Roaming Mantis a essaimé dans le monde entier, infectant particulièrement les smartphones et tablettes qui utilisent Android.

C’est également le cas d’un autre groupe de pirates, qui a déployé ces dernières années le logiciel espion Flubot et qu’Europol a démantelé en juin 2022. Flubot se propageait par l’entremise de nos SMS. Ces derniers avaient la particularité de comporter de nombreuses fautes d’orthographe, et indiquaient à la personne visée qu’elle venait de manquer un appel. Un lien guidait celle-ci vers une application à télécharger, dans le but d’écouter une messagerie vocale. Cette application était bien sûr un piège à partir duquel Flubot accédait aux contacts afin de leur adresser des messages infectés… au nom même du propriétaire du téléphone !

Pour la première fois détecté en décembre 2020, ce virus s’est propagé assez largement en 2021 (6,5 millions de SMS envoyés !) et a été particulièrement virulent en Finlande ainsi qu’en Espagne. Europol a fini par le démanteler l’an dernier au cours d’une opération internationale qui a impliqué 11 pays – de l’Australie à la Hongrie, des Etats-Unis à la Suisse. Lors des perquisitions, les services de Police ont trouvé des équipements très professionnels dédiés aux mobiles, ce qui tend à démontrer que ces pirates de Flubot menaient quasi-exclusivement des attaques visant les smartphones.

Nos smartphones sont devenus des cibles de choix

Désormais, aucun doute n’est plus permis : il existe bel et bien de nombreux groupes actifs dans le monde, qui créent leurs propres logiciels espions destinés aux mobiles. C’est le cas d’Emotet ou de Fin8, qui ont très souvent utilisé un spyware nommé SpyNote afin de parvenir à leurs fins. Citons aussi des groupes chinois qui, à l’image d’APT-41 ou de Casper, ont recours à tout un arsenal de spywares, ou de xRAT, visant à espionner massivement les entreprises occidentales, notamment dans le cadre de l’espionnage industriel.

Il convient donc de bien prendre conscience de ceci : nos smartphones ne sont pas les potentielles victimes collatérales des virus informatiques. Ils sont devenus des cibles de choix pour les cybercriminels du monde entier, que ce soit dans un contexte économique ou de géostratégie. Pour les pirates, il est plus rentable de voler les données d’un smartphone – surtout celui d’un acteur économique majeur – que d’essayer de chiffrer un terminal puis de demander une rançon. D’autant qu’il leur est également possible d’attaquer des mobiles à partir du PC d’une entreprise, ou d’un serveur dès lors qu’ils sont connectés au réseau. Des attaques récentes montrent même que certains groupes sont en capacité de prendre le contrôle des serveurs MDM (c’est-à-dire des serveurs qui gèrent les mobiles d’une organisation), pour ensuite déployer un ensemble d’applications qui espionnent les utilisateurs à privilèges ou les VIP…

Il est urgent de prendre tout à fait conscience de ces développements, et d’engager des défenses massives.